Gizlilik Politikası

Son güncelleme: Mayıs 2026

PharmaZeka olarak gizliliğinize önem veriyoruz. Bu politikada, hangi verileri topladığımızı, daha da önemlisi hangi verileri TOPLAMADIĞIMIZI ve verilerinizi nasıl koruduğumuzu sade bir dille açıklıyoruz.

1. Özet: Neyi Topluyoruz, Neyi TOPLAMIYORUZ

TOPLAMIYORUZ (Medula otomasyon akışında mimari olarak gerçekleşmez):

• Medula üzerindeki işlemlerde hastalara ait TC kimlik numaraları
• Reçete içeriği (ilaç adı, doz, barkod, kutu sayısı vb.) Medula otomasyon akışında — bu veriler eczane bilgisayarında yerel olarak işlenir
• Tanı kodları (ICD-10) ve hastaya ait sağlık verileri Medula otomasyon akışında
• Medula şifresi (yalnızca eczane bilgisayarında şifreli olarak yerel saklanır)

TOPLUYORUZ (yalnızca abonelik için gereken):

• Hesap bilgileri: Hesap sahibinin ve davet edilen operatör kullanıcıların ad-soyadı, e-postası, rolü (eczacı / teknisyen)
• İşletme bilgileri: Eczane adı, fatura adresi
• Faturalama bilgileri: Abonelik planı, ödeme geçmişi, kontör kullanımı
• Teknik bilgiler: Hesap oturum kayıtları, web yönetim paneli IP adresi

KOŞULLU OLARAK İŞLİYORUZ (yalnızca kağıt reçete OCR özelliği kullanıldığında):

• OCR işleminden elde edilen reçete içeriği (ilaç, tanı, hekim, reçete no): AES-256-GCM ile şifrelenmiş biçimde veritabanımızda saklanır; düz metin olarak hiçbir zaman yazılmaz
• Görsel SHA-256 hash değeri: Mükerrer işlemi önlemek amacıyla 90 gün önbellekte tutulur; görselin kendisi saklanmaz
• Yüklenen görsel içeriği: OCR amacıyla Anthropic Inc. (ABD) API'sine anlık olarak iletilir; iletimden sonra PharmaZeka sistemlerinde saklanmaz

Ayrıntılar için "4. Kağıt Reçete OCR ve Yurt Dışı Aktarım" bölümünü inceleyiniz.

2. Verileri Nasıl Kullanıyoruz?

Topladığımız verileri yalnızca aşağıdaki amaçlarla kullanırız:

• Aboneliğinizi yönetmek ve faturalandırmak
• Yazılım lisansınızı doğrulamak ve güncellemek
• Teknik destek sağlamak
• Yasal yükümlülüklerimizi yerine getirmek
• Hizmet kalitesini ölçmek ve iyileştirmek
• Kağıt reçete OCR özelliği kullanıldığında, reçete içeriğini metin olarak çıkarmak ve işlemi kolaylaştırmak

Verilerinizi reklam veya pazarlama amaçlı üçüncü taraflara satmıyoruz.

3. Çerezler

Web yönetim panelimizde yalnızca aşağıdaki zorunlu çerezler kullanılır:

• Zorunlu oturum çerezleri: Hesabınıza giriş yapmanızı sağlamak için gereklidir.
• Tercih çerezleri: Dil, tema gibi kullanıcı tercihlerinizi hatırlamak için kullanılır.

PharmaZeka, çerezler aracılığıyla analitik veya pazarlama amaçlı veri toplamaz; üçüncü taraf takip (tracking) çerezleri kullanılmaz. Tarayıcı ayarlarınızdan çerezleri yönetebilirsiniz; ancak zorunlu çerezleri devre dışı bırakırsanız hesabınıza giriş yapamayabilirsiniz.

4. Kağıt Reçete OCR Akışı ve Otomatik Maskeleme

PharmaZeka kağıt reçeteyi iki aşamalı bir akışla işler. Hasta TC kimlik numarası ve hasta ad-soyadı **hiçbir aşamada cihaz dışına çıkmaz**.

**Adım 1 — Yerel (cihazda) PII tespiti ve maskeleme:**

• Eczacı kağıt reçete fotoğrafı çektiğinde tarayıcınızda yerel olarak çalışan açık kaynaklı OCR motoru (Tesseract.js) eczacının işaretlediği bölgeleri okur.
• Hasta TC ve ad-soyad bu OCR çıktısından çıkarılır ve reçete görseli üzerinde **siyah dikdörtgenle maskelenir**. Bu işlem tamamen tarayıcınızda gerçekleşir; ham TC ve ad-soyad bilgisi PharmaZeka sunucularına veya Anthropic'e gönderilmez.
• Eczacı bu adımı atlayamaz: kağıt reçete tarama özelliğini kullanmadan önce KVKK aydınlatma metnini okuyup kabul etmesi, ve her reçetede TC + ad-soyad alanlarını işaretlemesi zorunludur.

**Adım 2 — Maskelenmiş görselin AI ile analizi (yurt dışı aktarım):**

• TC ve ad-soyad maskelenmiş hâldeki reçete görseli, sadece tıbbi alanların (ilaç adları, barkod, teşhis kodları, doz, kutu adedi) çıkarılması amacıyla Anthropic Inc.'e (San Francisco, CA, ABD) iletilir. Bu yurt dışı veri aktarımı KVKK kapsamında değerlendirilir.
• AI'ya iletilen görselde TC ve hasta adı bulunmadığı için, AI servisinin bu kişisel verilere erişimi yoktur.
• Yerelde çıkarılan TC ve ad-soyad, AI'dan dönen tıbbi bilgilere tarayıcınızda eklenir; daha sonra AES-256-GCM ile şifrelenip veritabanına yazılır.

**Anthropic hakkında bilmeniz gerekenler:**

• API çağrılarında gönderilen veriler model eğitiminde kullanılmaz.
• Anthropic, güvenlik incelemesi amacıyla iletilen veriyi 30 gün geçici olarak saklayabilir.
• Anthropic SOC 2 Type II ve ISO 27001 sertifikalıdır.
• Görsel iletim sonrasında PharmaZeka veritabanına kaydedilmez; yalnızca SHA-256 hash değeri önbellekte tutulur.

**E-Reçete akışı:** E-reçete numarası ile çalışılan reçetelerde Anthropic'e veya başka bir AI servisine **hiçbir veri gönderilmez**. Eczacı fotoğraftan TC + e-reçete no okumak için tarayıcı içi yerel OCR'ı kullanır; bilgiler doğrudan formuna yazılır ve eczane bilgisayarınıza (lokal agent) iletilir. E-reçete akışında yurt dışı aktarım yoktur.

**Doktor bilgileri:** Doktor adı ve diploma tescil numarası, eczacının tercihine bağlı olarak maskelenebilir veya AI servisine iletilebilir. AI'ya iletilmesi durumunda yukarıdaki Anthropic koşulları uygulanır.

5. Üçüncü Taraf Hizmet Sağlayıcılar

Hizmetimizi sunarken aşağıdaki üçüncü taraflarla sınırlı veri paylaşımı yapılır:

• Ödeme altyapısı sağlayıcısı: Abonelik ödemelerinizi güvenli şekilde almak için (örn. iyzico, Stripe veya benzeri)
• E-posta sağlayıcısı: Sistem bildirimleri ve fatura iletimleri için
• Bulut uygulama altyapısı sağlayıcısı (Railway): Web yönetim panelinin (Next.js uygulama katmanı) çalıştırıldığı altyapı
• Veritabanı altyapısı sağlayıcısı (Supabase): Abonelik, hesap ve reçete işlem kayıtlarının depolandığı veritabanı; Avrupa Birliği bölgesinde (Almanya, Frankfurt) AB GDPR kapsamında işletilmektedir
• Anthropic Inc. (ABD): Yalnızca kağıt reçete OCR özelliği kullanıldığında; görsel içeriğin metin olarak çıkarılması amacıyla
• Tawk.to Inc. (ABD): Web yönetim panelindeki canlı destek widget'ı; eczacının destek talebinde yazdığı mesajlar, ekran adı ve e-posta adresi sohbet kayıtları için Tawk.to altyapısında saklanır. Hasta verisi (TC, reçete içeriği) destek widget'ı üzerinden iletilmez

Bu sağlayıcılar yalnızca kendi sözleşmesel görevlerini yerine getirmek için gerekli verilere erişir ve verilerinizi başka amaçlarla kullanamaz.

6. Veri Güvenliği Önlemleri

Verilerinizi korumak için aşağıdaki teknik ve idari tedbirleri uyguluyoruz:

• TLS (HTTPS) ile şifreli iletim
• Reçete içeriği dahil hassas kayıtlar için AES-256-GCM uygulama katmanı şifrelemesi (şifreleme anahtarı sunucu ortam değişkeninde tutulur, veritabanından ayrıdır)
• Veritabanı düzeyinde at-rest encryption
• Erişim logları ve denetim kayıtları
• En az yetki prensibi ile çalışan iç erişim kontrolleri
• Şifrelerin yalnızca tek yönlü hash (bcrypt/argon2) ile saklanması
• Düzenli güvenlik güncellemeleri ve yedeklemeler

7. Saklama Süreleri

• Faturalama kayıtları: 10 yıl (vergi mevzuatı gereği)
• Hesap bilgileri: Hesap aktif olduğu sürece; abonelik bitiminden sonra hesap silme talebi üzerine imha edilir, mali kayıtlar 10 yıl yasal yükümlülük gereği tutulur
• Oturum kayıtları: 2 yıl
• Şifreli reçete işlem kayıtları: Aktif abonelik süresince; hesap silme talebi üzerine imha edilir
• Görsel hash (önbellek): 90 gün

8. Haklarınız

KVKK kapsamında verilerinizle ilgili haklarınız hakkında detaylı bilgi için KVKK Aydınlatma Metni sayfamızı inceleyebilirsiniz. Tüm talepleriniz için bize aşağıdaki adresten ulaşabilirsiniz.

9. İletişim

Gizlilik ile ilgili tüm sorularınız ve talepleriniz için:

• E-posta: merhaba@pharmazeka.com
• Adres: KAYABAŞI MAH. VEYSEL KARANİ CAD. PARK MAVERA 3 B2 BLOK NO: 7 G İÇ KAPI NO: 2 BAŞAKŞEHİR/İSTANBUL
• Telefon: +90 551 973 41 42

10. Politikadaki Değişiklikler

Bu Gizlilik Politikası zaman zaman güncellenebilir. Önemli değişiklikler hesabınızla ilişkili e-posta adresine bildirilecektir. Değişikliklerin yürürlüğe girmesi, sayfanın güncellenme tarihinden itibaren geçerlidir.